網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的過程，主要表現(xiàn)在以下兩個(gè)方面：

攻擊者的手段在不斷變化，攻擊方法和工具也在不斷更新，隨著網(wǎng)絡(luò)內(nèi)設(shè)備的增多，各類漏洞的不斷出現(xiàn)更是為攻擊者提供了新的滋生土壤。

網(wǎng)內(nèi)業(yè)務(wù)不斷變化，軟件系統(tǒng)在變，工作人員在變，妄圖通過一個(gè)系統(tǒng)、一個(gè)方案解決所有問題是不現(xiàn)實(shí)、不可能的。

因此，網(wǎng)絡(luò)安全需要不斷的人力、物力、財(cái)力等投入，需要持續(xù)的運(yùn)營、維護(hù)和優(yōu)化，SOC也便應(yīng)時(shí)而生。

安全運(yùn)營中心業(yè)界通常稱為SOC（Security Operations Center），SOC采用集中管理方式，統(tǒng)一管理相關(guān)安全產(chǎn)品，搜集所有網(wǎng)內(nèi)資產(chǎn)的安全信息，并通過對(duì)收集到的各種安全事件進(jìn)行深層的分析、統(tǒng)計(jì)和關(guān)聯(lián)，及時(shí)反映被管理資產(chǎn)的安全情況，定位安全風(fēng)險(xiǎn)，對(duì)各類安全事件及時(shí)發(fā)現(xiàn)和定位，并及時(shí)提供處理方法和建議，協(xié)助管理員進(jìn)行事件分析、風(fēng)險(xiǎn)分析、預(yù)警管理和應(yīng)急響應(yīng)處理。

安全運(yùn)營中心核心能力

SOC平臺(tái)能夠?qū)Ω鞣N多源異構(gòu)數(shù)據(jù)源產(chǎn)生的信息進(jìn)行收集、過濾、格式化、 歸并、存儲(chǔ)，并提供了諸如模式匹配、 風(fēng)險(xiǎn)分析、異常檢測等能力，使用戶對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和管理，對(duì)各種資產(chǎn)(主機(jī)、服務(wù)器、IDS、IPS、WAF等)進(jìn)行脆弱性評(píng)估，對(duì)各種安全事件進(jìn)行分析、統(tǒng)計(jì)和關(guān)聯(lián)，并及時(shí)發(fā)布預(yù)警，提供快速響應(yīng)能力。

其核心能力如下：

• 網(wǎng)絡(luò)管理能力

SOC平臺(tái)可通過SNMP、SSH、Telent等協(xié)議，監(jiān)控多種網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)，并對(duì)運(yùn)行異常進(jìn)行報(bào)警。監(jiān)控功能包括：

1. 監(jiān)控設(shè)備運(yùn)行狀態(tài)，如系統(tǒng)CPU、內(nèi)存、 系統(tǒng)時(shí)間、設(shè)備持續(xù)運(yùn)行時(shí)間；

2. 監(jiān)控端口信息，如各端口的活動(dòng)狀態(tài)及地址變化；

3. 監(jiān)控流量信息，采集當(dāng)前時(shí)刻設(shè)備總流量、 總流出數(shù)據(jù)量、總流入數(shù)據(jù)量等；

4. 自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)?，以圖形化的界面展示， 并提供視圖操作及輸出功能。

• 安全資產(chǎn)管理能力

SOC平臺(tái)提供資產(chǎn)信息庫維護(hù)能力，可對(duì)資產(chǎn)信息進(jìn)行增加、刪除、修改等，并支持資產(chǎn)檢索功能，對(duì)被管設(shè)備資產(chǎn)信息可以按照設(shè)備IP地址、設(shè)備所屬單位、設(shè)備類型、所屬安全域、所屬業(yè)務(wù)系統(tǒng)等條件進(jìn)行單獨(dú)或組合查詢。

• 風(fēng)險(xiǎn)管理能力

SOC平臺(tái)支持基于IS013335和ISOl7799標(biāo)準(zhǔn)的風(fēng)險(xiǎn)計(jì)算分析和展現(xiàn)?？梢詮牡赜颉I(yè)務(wù)系統(tǒng)、IP地址段等視角查看資產(chǎn)風(fēng)險(xiǎn)，及時(shí)掌握資產(chǎn)中產(chǎn)生的安全事件、配置脆弱性和安全漏洞。

• 工單管理能力

SOC平臺(tái)通過工單管理，實(shí)現(xiàn)對(duì)安全事件的快速閉環(huán)響應(yīng)。

通過事件監(jiān)控中心監(jiān)測到安全事件后，手工或系統(tǒng)自動(dòng)生成新的工單，并通過系統(tǒng)報(bào)警或郵件的方式，通知相關(guān)責(zé)任人進(jìn)行處理。工單管理會(huì)對(duì)工單被派發(fā)后的整個(gè)過程進(jìn)行跟蹤，進(jìn)行工單收回、重新派發(fā)等工作。

• 事件收集采集能力

SOC平臺(tái)能夠通過多種方式收集事件源發(fā)送的安全事件信息，收集方式包含以下幾種：

1. 通過文件方式，讀取事件源的日志文件，獲取其中與安全有關(guān)的信息；

2. 通過SNMP Trap和syslog方式，接收事件源發(fā)來的安全事件；

3. 通過JDBC、ODBC數(shù)據(jù)庫接口獲取事件源存放在各種數(shù)據(jù)庫中的安全相關(guān)信息或數(shù)據(jù)庫操作日志；

4. 通過OPSEC接口，接收來自該類型的安全事件服務(wù)器發(fā)送來的事件；

5. 通過第三方應(yīng)用程序或者自研agent，結(jié)合以上方式或者標(biāo)準(zhǔn)輸出，直接將安全事件轉(zhuǎn)發(fā)給安全事件采集系統(tǒng)。

• 事件處理和關(guān)聯(lián)分析能力

SOC平臺(tái)中事件處理功能，主要負(fù)責(zé)對(duì)安全事件進(jìn)行標(biāo)準(zhǔn)化、過濾、合并、集中存儲(chǔ)。

SOC平臺(tái)中關(guān)聯(lián)分析采用基于規(guī)則關(guān)聯(lián)或資產(chǎn)漏洞、威脅情報(bào)關(guān)聯(lián)的方式，實(shí)時(shí)對(duì)事件進(jìn)行統(tǒng)計(jì)分析，當(dāng)滿足條件的事件發(fā)生時(shí)，將觸發(fā)對(duì)應(yīng)的安全響應(yīng)動(dòng)作，如聲音報(bào)警、郵件報(bào)警、手機(jī)短信報(bào)警等多種方式。

• 知識(shí)庫管理能力

SOC平臺(tái)的知識(shí)管理平臺(tái)除提供一般知識(shí)管理功能， 比如安全知識(shí)庫、培訓(xùn)和人員考核等，也提供了強(qiáng)大的漏洞庫、事件特征庫、補(bǔ)丁庫、安全配置知識(shí)庫和應(yīng)急響應(yīng)知識(shí)庫等。

• 豐富的報(bào)表展現(xiàn)能力

SOC平臺(tái)報(bào)表提供對(duì)系統(tǒng)內(nèi)的各類安全數(shù)據(jù)，進(jìn)行全方位多角度的展現(xiàn)能力。如資產(chǎn)類型分布、攻擊類事件分布、安全告警趨勢等，并提供用戶自定義及報(bào)表導(dǎo)出能力。

• 第三方系統(tǒng)集成能力

SOC平臺(tái)第三方系統(tǒng)集成能力是SOC平臺(tái)能夠?qū)W(wǎng)絡(luò)安全進(jìn)行綜合評(píng)定的又一基礎(chǔ)。SOC平臺(tái)可以通過Webservice接口或第三方提供的API，從第三方系統(tǒng)獲取必要信息，或者驅(qū)動(dòng)第三方系統(tǒng)或設(shè)備進(jìn)行有目的的工作。如SOC平臺(tái)可以通過驅(qū)動(dòng)漏洞掃描系統(tǒng)，對(duì)指定的資產(chǎn)進(jìn)行漏洞掃描，并通過結(jié)果接口獲取掃描結(jié)果，參與到事件的關(guān)聯(lián)分析中。

安全運(yùn)營中心價(jià)值

基于某一個(gè)具體設(shè)備或系統(tǒng)，如WAF、IDS、IPS、漏洞掃描系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全分析，信息較分散，容易增加誤判、漏判的概率，且需要大量的專業(yè)人員，知識(shí)積累較困難，應(yīng)急響應(yīng)慢。

SOC平臺(tái)通過收集各類相關(guān)安全信息，并進(jìn)行相互之間的關(guān)聯(lián)分析、印證，從多角度對(duì)網(wǎng)內(nèi)資產(chǎn)進(jìn)行安全分析和評(píng)估，并將安全運(yùn)維工作流程化，極大提高了發(fā)現(xiàn)事件并及時(shí)處理響應(yīng)的能力，同時(shí)通過知識(shí)積累和系統(tǒng)運(yùn)維的完善，不斷加強(qiáng)和完善網(wǎng)絡(luò)的安全防護(hù)能力、攻擊發(fā)現(xiàn)及應(yīng)急響應(yīng)能力。

產(chǎn)品概述

靈狐科技安全運(yùn)營中心（Security Operations Center，簡稱SOC）是企業(yè)信息安全體系的支撐平臺(tái)，以資產(chǎn)為核心，安全事件分析處理為主線，監(jiān)控企業(yè)安全風(fēng)險(xiǎn)狀況的同時(shí)，確保企業(yè)信息安全閉環(huán)。安全運(yùn)營中心通過內(nèi)置綜合分析、集中監(jiān)控、集中運(yùn)維、統(tǒng)一管理的功能，配合企業(yè)安全業(yè)務(wù)流程，將技術(shù)、流程、人進(jìn)行有機(jī)的結(jié)合，實(shí)現(xiàn)企業(yè)全面、綜合的信息安全管理。